Datenschutzerklärung für die Verarbeitung personenbezogener Daten in MS Teams

Der Schutz Ihrer Privatsphäre ist für das Europäische Patentamt (EPA) von höchster Bedeutung. Wir sind dem Schutz Ihrer personenbezogenen Daten und Ihrer Rechte als betroffener Person verpflichtet. Alle personenbezogenen Daten (d. h. Daten, mit denen Sie direkt oder indirekt identifiziert werden können) werden nach Treu und Glauben, auf rechtmäßige Weise und mit der gebotenen Sorgfalt verarbeitet.

Die Verarbeitung erfolgt nach den Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt. Wir sind darauf bedacht, dass unser Datenschutzrahmen der aktuellen optimalen Praxis entspricht. Seine Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO) wurde unlängst in einem Audit bestätigt.

1. Wie und warum verarbeiten wir Ihre personenbezogenen Daten?

Wir haben unsere Nutzung von Microsoft 365 und insbesondere von Microsoft Teams (MS Teams) erweitert, um virtuelle Besprechungen und Telefonkonferenzen sowohl innerhalb des EPA als auch zwischen dem EPA und externen Parteien zu organisieren. MS Teams ist eine cloud-basierte Anwendung und Teil von Microsoft 365. Sie wird für die Nutzer mit dem Ziel bereitgestellt, die Flexibilität zu erhöhen und die Kommunikation und Zusammenarbeit sowohl innerhalb des EPA als auch zwischen dem EPA und externen Parteien zu verbessern. Teams umfasst die folgenden zentralen Funktionen: Messaging, Anrufe, Videokonferenzen und Dateifreigabe.

Für die Bereitstellung der oben genannten Dienste werden personenbezogene Daten verarbeitet, d. h. erhoben und in den Cloud-Servern von Microsoft gespeichert.

Die verarbeiteten Daten werden nicht für automatisierte Entscheidungen einschließlich Profiling verwendet.

2. Welche personenbezogenen Daten verarbeiten wir?

Wir verarbeiten die folgenden Kategorien/Arten von personenbezogenen Daten:

  • Angaben zur persönlichen Identifizierung: Benutzername, Vor- und Zuname, E-Mail-Adresse, Telefonnummer (Arbeit), Beruf und bevorzugte Sprache
  • Angaben zur elektronischen Identifizierung: IP-Adresse, Cookies, Verbindungsdaten und Zugriffszeiten
  • Filme, Bilder sowie Video- und Tonaufnahmen
  • Metadaten, die für die Wartung des bereitgestellten Dienstes verwendet werden
  • alle Daten, die im Rahmen der Dateifreigabe für berufliche Aktivitäten (potenziell) verarbeitet werden (z. B. Nachrichten, Bilder, Dateien, Sprachmitteilungen, Kalendereinträge oder Kontakte)

3. Wer ist für die Verarbeitung der Daten verantwortlich?

Die Verarbeitung personenbezogener Daten erfolgt unter der Verantwortung unseres Chief Information Officer (CIO), der unserer Abteilung Business Information Technology (BIT) angehört und als bevollmächtigter Datenverantwortlicher des EPA handelt.

Die personenbezogenen Daten werden vom externen Dienstleister des EPA, Microsoft, für die folgenden Aktivitäten verarbeitet:

  • Unterstützung der Endnutzer und Problemlösung für Anwendungen und Funktionen von Microsoft 365
  • Nachverfolgung von Änderungen von Nutzern und Gruppen
  • Verwaltung der in Microsoft 365 hochgeladenen Inhalte, einschließlich der Politik für Speicherfristen
  • Verwaltung der Einstellungen von Microsoft 365
  • Unterstützung, Betrieb und Wartung der Online-Dienste des EPA

Weitere Informationen dazu, wie wir personenbezogene Daten für alle Dienste von Microsoft 365 verarbeiten, finden sich in der Datenschutzerklärung für die Verarbeitung personenbezogener Daten in Microsoft 365. Datenschutzerklärung von Microsoft.

Zusätzliche Auskünfte über die Verarbeitung personenbezogener Daten durch Microsoft finden sich in der Datenschutzerklärung von Microsoft.

4. Wer hat Zugriff auf Ihre personenbezogenen Daten und für wen werden sie offengelegt?

Personenbezogene Daten werden bedarfsorientiert für folgende Empfänger offengelegt:

  • EPA-Bedienstete und externe Nutzer, die von Microsoft-365-Diensten zum Informationsaustausch umfasst sind
  • Mitarbeiter von BIT und Microsoft, die an der für den Dienst erforderlichen Datenverarbeitung beteiligt sind

Die personenbezogenen Daten werden in der Europäischen Union (EU) gemäß der vom EPA implementierten Anwendungskonfiguration gespeichert.

Sie werden nicht für andere Zwecke verwendet und auch nicht für andere Empfänger offengelegt.

5. Wie schützen wir Ihre personenbezogenen Daten?

Wir ergreifen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor versehentlicher oder rechtswidriger Vernichtung, Verlust oder Veränderung sowie unbefugter Offenlegung oder unbefugtem Zugang zu schützen.

MS Teams wurde so konfiguriert, dass die Vertraulichkeit der ausgetauschten Informationen gewahrt wird, indem alle Kommunikationsvorgänge und die Speicherung verschlüsselt erfolgen. Der anonyme Zugriff ist nicht gestattet. Alle Informationen, die Sie über Chats, Videokonferenzen oder Dateifreigaben zu einer Gruppe in MS Teams hinzufügen, stehen nur den oben in Punkt 4 genannten spezifischen Nutzern und Gruppen zur Verfügung.

Die Datenzentren von Microsoft sind nach mehreren Sicherheitsstandards zertifiziert, darunter ISO27001, SOC1 und SOC2, NIST Cybersecurity Framework (CSF), ISO27017 und ISO27018 Verhaltenskodex zum Schutz von personenbezogenen Daten in der Cloud.

Microsoft hat eine Reihe von Sicherheitsmaßnahmen implementiert, um die Verfügbarkeit der Informationen zu gewährleisten. Dabei ist mindestens vorgesehen, dass die Daten zwischen zwei Datenzentren derselben Region repliziert werden, Redundanzkontrollen durchgeführt werden und Backups erfolgen, die vor der Übermittlung und Speicherung verschlüsselt werden.

Die Datenzentren verfügen über physische und logische Maßnahmen zur Sicherheitsüberwachung, darunter:

  • Videoüberwachung der Umgebung
  • seismische und umwelttechnische Überwachung der Gebäude
  • Überwachung von Sicherheitsbedrohungen wie z. B. Würmern, Denial-of-Service-Angriffen, unbefugtem Zugriff und anderen unrechtmäßigen Aktivitäten

Microsoft hat über 700 Sicherheitsmaßnahmen in seinen Systemen, Servern und Datenzentren implementiert. Dazu zählen Sicherheitsmaßnahmen gegen versehentliche oder rechtswidrige Zerstörung, Verlust, unbefugten Zugriff, Benutzung, Veränderung oder Offenlegung. Diese internen Kontrollen werden jährlich in einem Audit geprüft. Bei Bedarf können Auditinformationen im Rahmen einer Geheimhaltungsvereinbarung bereitgestellt werden. Die Informationen sind bei ihrer Speicherung und Übermittlung verschlüsselt.

Wie vorstehend erwähnt, werden die personenbezogenen Daten in der EU gemäß der vom EPA implementierten Anwendungskonfiguration gespeichert. Sie können jedoch Unterauftragnehmern in anderen Ländern abhängig von den Erfordernissen bezüglich Wartung, Unterstützung oder Betrieb von cloud-basierten Diensten und der Verfügbarkeit dieses Know-hows zur Verfügung gestellt werden. Wird Zugriff auf die Daten gewährt, so geschieht dies befristet und nur für die Daten, die für das spezifische Wartungs-, Unterstützungs- oder Betriebsverfahren erforderlich sind. Die folgenden Sicherheitsmaßnahmen sind im Einsatz:

  • Bei allen Transfers in Drittländer nutzt Microsoft Standardvertragsklauseln der EU für den Datentransfer mit seinen Unterdatenverarbeitern.
  • Microsoft verlangt, dass sich die Unterdatenverarbeiter dem Microsoft Supplier Security and Privacy Assurance Program. anschließen. Dieses Programm soll die Praxis der Datenverarbeitung standardisieren und stärken und gewährleisten, dass die Geschäftsprozesse und -systeme der Lieferanten mit denen von Microsoft konform sind.

6. Welche Rechte habe ich an meinen Daten?

Sie haben in Bezug auf Ihre Daten folgende Rechte:

6.1. Auskunftsrecht

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden; ist dies der Fall, haben sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen über den Verarbeitungszweck oder die Kategorien der betreffenden personenbezogenen Daten.

6.2. Recht auf Berichtigung

Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.

6.3. Recht auf Sperrung der Daten

Sie haben das Recht, unter bestimmten Umständen vom EPA eine Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, z. B. wenn Sie der Auffassung sind, dass die Verarbeitung unrichtig oder unrechtmäßig ist.

6.4. Recht auf Löschung

Sie haben das Recht, unter bestimmten Umständen die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, z. B. wenn Ihre personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder wenn sie unrechtmäßig verarbeitet wurden.

6.5. Widerspruchsrecht

Sie haben das Recht, unter bestimmten Umständen gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen.

Zur Geltendmachung dieser Rechte wenden Sie sich bitte schriftlich an unseren Chief Information Officer unter CIO_CTO_Office@epo.org.

7. Auf welcher Rechtsgrundlage basiert die Verarbeitung Ihrer Daten?

Die Verarbeitung erfolgt nach Artikel 5 a) der Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt.

Personenbezogene Daten werden im Einklang mit der Politik des EPA zur Informationssicherheit erhoben und verarbeitet.

8. Wie lange speichern wir Ihre Daten?

Die Daten werden in MS Teams ein Jahr lang nach Abschluss der Austauschaktivität gespeichert.

9. Kontakt

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte schriftlich an unseren Chief Information Officer unter CIO_CTO_Office@epo.org.

Alternativ können Sie sich auch an unseren Datenschutzbeauftragten wenden unter dataprotection@epo.org.

Quick Navigation